Linux Install Memo

サーバー管理者によるLinux関連ソフトのインストールメモ

Home » □fail2ban でうざいアクセスをシャットアウト

□fail2ban でうざいアクセスをシャットアウト

参考:
http://www.fail2ban.org
http://sourceforge.net/projects/fail2ban

よくログを見ていると

> May? 6 12:51:00 big30 sshd[8254]: Failed password for root from 70.232.148.125 port 56935 ssh2
> May? 6 12:51:01 big30 sshd[8259]: Failed password for root from 70.232.148.125 port 56955 ssh2
> May? 6 12:51:03 big30 sshd[8264]: Failed password for root from 70.232.148.125 port 57027 ssh2
> May? 6 12:51:04 big30 sshd[8269]: Failed password for root from 70.232.148.125 port 57403 ssh2
> May? 6 12:51:06 big30 sshd[8274]: Failed password for root from 70.232.148.125 port 57426 ssh2
> May? 6 12:51:07 big30 sshd[8279]: Failed password for root from 70.232.148.125 port 57490 ssh2
> May? 6 12:51:09 big30 sshd[8284]: Failed password for root from 70.232.148.125 port 57518 ssh2
> May? 6 12:51:10 big30 sshd[8289]: Failed password for root from 70.232.148.125 port 57898 ssh2

こんなあほなリクエストをしてくるやからが非常に多い。
まぁ普通の辞書に載っているようなパスワードにはもちろんしていない
のでアクセスできないわけなんだが、いっぱい来られるとログは増える
し負荷も上がるしってなわけでいいことがない。

そこで fail2ban をインストールする。
やっていることはこれらのログを監視して、エラーが規定回数に達した
場合には、そのIPからの接続をカットする、というもの。

tar xvjf package/fail2ban-0.8.3.tar.bz2
cd fail2ban-0.8.3/
./setup.py install

で、インストールされたら /etc/fail2ban/ にある各種設定ファイルを
編集。

まず jail.conf では基本的な動作を設定している。

> [DEFAULT]
> ignoreip = 127.0.0.1??ローカルからのアクセスは無視
> bantime? = 600??拒否するのは600秒
> findtime? = 600??600秒以内のエラーが対象
> maxretry = 3???エラーは3回まで(きびしー!!)
> backend = auto??とりあえずautoで

つづいて sshd のフィルタリング。

> [ssh-iptables]
> enabled? = true
> filter?? = sshd
> action?? = iptables[name=SSH, port=ssh, protocol=tcp]
>??????????? mail-whois[name=SSH, dest=yourmail@mail.com]
> logpath? = /var/log/messages
> maxretry = 5

としてみた。

起動するには、

/usr/bin/fail2ban-client start

とすればOK。

あとは10分くらいカットされてもいい所から適当に接続を繰り返して
みて接続できなくなることを確認。/var/log/fail2ban.log に記録が
出ているのであわせて確認すること。

/etc/rc.d/rc.M にでも

> # Start the fail2ban setup procedure.
> if [ -x /usr/bin/fail2ban-client ]; then
>?? rm /var/tmp/fail2ban.sock
>?? /usr/bin/fail2ban-client start
> fi

とかいておけばOK。

※2015.07.24追記

epelを参照するようにしていれば、yumで一式インストールできるfail2banがありますので、
□fail2ban でうざいアクセスをシャットアウト -2-』を見た方がいいですよ。

Name of author

Name: admin

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です